Hola, tanto por post como por get te pueden hacer una inyección sql. Siempre es muy importante la validación del lado del servidor. si un campo es un numero verificar que sea un número lo que el usuario escriba, si solo puede llevar texto que solo sea texto.
Incluso es bueno si sabes la longitud que debe tener un campo verificarla también.

También es útil escapar las comillas, eliminar las etiquetas html, o los caracteres especiales cambiarlos.

Si validas del lado del cliente con javascript, es necesario aun así hacerlo en el servidor.

saludos